Las amenazas informáticas ya superaron la barrera de las pantallas y aplicaciones. Desde hace un tiempo, los cibercriminales están vulnerando sistemas de forma activa con la intención de causar un daño físico a personas o comunidades enteras, pero el fenómeno no se había masificado hasta ahora, con la aparición de los Killwares.
Este nuevo tipo de malware puede llegar a ser tan grave como su nombre indica y resultar en la muerte de una persona. Las motivaciones no son exclusivamente económicas, como en la mayoría de los casos, sino destructivas. Hay gente que solo quiere ver el mundo arder.
Un buen ejemplo ocurrió el 5 de febrero de 2021, en la ciudad de Oldsmar, Florida. El operador de una planta de agua que servía a por lo menos 15,000 personas notó que el cursor de una computadora se movía de forma autónoma y ejecutaba programas de control para el tratamiento del vital líquido. El atacante aumentó los niveles de hidróxido de sodio, también conocido como lejía, a 100 veces su valor normal. Afortunadamente el suceso se detectó prácticamente en tiempo real y pudo corregirse, de otra forma, el envenenamiento por lejía podría haber cobrado cientos de vidas humanas.
Hasta el día de hoy nadie se ha adjudicado el ataque y no existen pistas como para rastrear al responsable.
Este tipo de casos no son aislados y cada vez se detectan con mayor frecuencia. Hace un año el FBI, la Cybersecurity and Infrastructure Agency (CISA), la Environmental Protection Agency (EPA) y la National Security Agency (NSA) de Estados Unidos emitieron una alerta de ciberseguridad porque detectaron numerosos ataques a los sistemas críticos que podrían haber tenido consecuencias fatales.
El punto crítico son los hospitales
Los killwares han sido interpretados como una evolución del ransomware. Si inicialmente estos ataques solo encriptaban los archivos de la organización afectada, luego amenazaron también con hacerla pública o venderla a la competencia, para forzar aún más la necesidad de realizar un pago. Lo alarmante es cuando uno de estos ataques impacta a una institución de salud, con pacientes cuyas vidas dependen del buen funcionamiento de múltiples sistemas.
En 2021, 34% de las organizaciones de salud fueron atacadas por un ransomware; de ellas 65% vieron su información encriptada, 34% pagó la extorsión solicitada, pero solo el 69% de la información fue recuperada.
Lo peor es que en 2021 se detectó un alza de 45% en los ataques a este sector.
Las víctimas ya existen: en 2019, un ataque de ransomware al Springhill Medical Center, en Alabama, habría causado la muerte de un bebé recién nacido. Además de volver inaccesibles los historiales médicos de muchos pacientes, la intrusión habría afectado a los monitores fetales de latidos. Esto impidió que las enfermeras notarán a tiempo una anomalía en la alimentación de oxigeno del infante, lo que llevó a daños cerebrales que finalmente resultaron en su mente.
Equipos de quimioterapia, bombas de insulina, marcapasos, o incluso la información médica de las personas podrían transformarse en armas de alta peligrosidad.
La infraestructura nos asesinará
Un “optimista” informe de Gartner predice que para el 2025 los ciberatacantes ya habrán transformado los ambientes operativos tecnológicos en verdaderas armas, con el poder de dañar o matar a las personas.
Los ataques a la tecnología operacional (OT) —el hardware y software que monitorea y controla equipos y procesos industriales— se están volviendo cada vez más comunes y complejos.
Basta con imaginar una fábrica que cuenta con una fuerza de trabajo robótica abundante: brazos mecánicos con fuerza sobrehumana, o máquinas de transporte para almacenes, capaces de moverse con libertad y que requieren de gran poder para trabajar. Si un cibercriminal tomara control de los sistemas tendría básicamente un ejército a su disposición y podría atacar a quien quisiera.
El informe afirma que los ataques han evolucionado desde una interrupción acotada de los procesos, como apagar una fábrica, a comprometer la integridad de los ambientes industriales, con la intención de causar daño físico.
Estos ataques a la OT y a otros Sistemas Ciberfísicos tienen tres motivaciones: Directamente hacer un daño real, como en el caso de ataques terroristas o de guerra; vandalismo comercial, que desemboca en ransomware u otras formas de obtener dinero; y vandalismo reputacional, que es crear mala fama para el fabricante o la empresa atacada, afectando su negocio.
Gartner proyecta que los impactos financieros de estos ataques con daños físicos a las personas alcanzarán $50,000 millones de dólares en 2023. Aún si no se llevan vidas humanas, los costos a nivel de compensaciones, juicios, seguros e impactos a la reputación serán gigantes. El reporte también afirma que la principal responsabilidad de estos casos caerá sobre el Director General, así que es una buena idea llevar estos datos a los CEO y poner en marcha acciones de seguridad para evitar una intrusión con riesgo de muerte. No hace falta esperar hasta 2025.